Pada Agustus 2025, dunia keamanan siber kembali digegerkan dengan kemunculan ancaman baru yang tingkat bahayanya jauh di atas rata-rata. Ransomware bernama Kraken muncul dengan kemampuan yang membuat banyak perusahaan harus mengubah total cara mereka memandang keamanan di lingkungan enterprise.
Baca Juga : Ransomware LockBit 5.0 Serang Data Perusahaan di Berbagai Platform
Kelompok kriminal siber berbahasa Rusia yang berada di balik Kraken mulai melancarkan serangan terarah ke berbagai organisasi besar di sejumlah benua. Yang membuatnya makin mengkhawatirkan adalah sifatnya yang benar-benar cross-platform. Kraken mampu menyerang Windows, Linux, hingga VMware ESXi menggunakan toolkit khusus yang disesuaikan untuk masing-masing platform.
Dengan kemampuan ini, Kraken menjadi salah satu ransomware lintas sistem pertama yang mendapat perhatian besar dari komunitas keamanan enterprise.
Para peneliti juga menemukan adanya keterkaitan antara operasi Kraken dengan kelompok ransomware HelloKitty. Dugaan ini muncul dari jejak digital, seperti kesamaan nama file ransom note dan referensi yang muncul di situs kebocoran data kelompok tersebut.
Hubungan keduanya semakin jelas ketika operator HelloKitty sendiri secara terbuka memberikan dukungan terhadap platform baru milik Kraken. Pada September 2025, kelompok ini meluncurkan forum bawah tanah bernama “The Last Haven Board”, yang diklaim sebagai ruang komunikasi aman untuk komunitas kriminal siber. Dukungan langsung dari HelloKitty membuat hubungan dua kelompok ini semakin kuat.
Double Extortion dan Eksploitasi SMB
.webp "Double Extortion dan Eksploitasi SMB")
Tim analis keamanan dari Cisco Talos menemukan bahwa Kraken mengadopsi metode double extortion. Jadi, korban tidak hanya mengalami proses enkripsi data, tetapi juga diancam dengan kebocoran data jika tidak memenuhi tuntutan tebusan. Pola ini semakin sering dipakai kelompok ransomware modern karena memberikan tekanan psikologis lebih besar kepada korban.
Kraken tidak bekerja secara sembarangan. Serangannya dimulai dengan langkah yang sangat terstruktur. Mereka biasanya masuk ke sistem dengan memanfaatkan kerentanan SMB pada server yang terhubung langsung ke internet.
Setelah berhasil menembus sistem, tahap berikutnya adalah mencuri kredensial berlevel tinggi. Dengan kredensial ini, pelaku bisa mempertahankan akses jangka panjang melalui koneksi RDP (Remote Desktop Protocol).
Supaya jejak mereka tetap tersembunyi, para pelaku memanfaatkan Cloudflared untuk membuat reverse tunnel serta menggunakan tools seperti SSH Filesystem untuk melakukan eksfiltrasi data secara diam-diam. Semua proses ini dilakukan sebelum mereka mulai menjalankan proses enkripsi.
Menariknya, sebelum melakukan enkripsi, Kraken menjalankan proses benchmarking unik yang bertujuan mengukur seberapa cepat ransomware bisa bekerja tanpa menimbulkan lonjakan resource mencolok yang bisa memicu deteksi otomatis. Dengan kata lain, Kraken secara aktif menyesuaikan kecepatannya agar tetap berada di bawah radar sistem keamanan.
Fitur Enkripsi dan Fleksibilitas Perintah yang Lebih Canggih
Tingkat kecanggihan teknis Kraken terlihat jelas saat melihat opsi perintah (command-line) yang disediakan untuk operatornya. Ransomware ini menggunakan kombinasi algoritma enkripsi RSA-4096 dan ChaCha20, dua algoritma kuat yang membuat proses pemulihan tanpa kunci dekripsi hampir mustahil dilakukan.
Pelaku dapat mengatur berbagai parameter untuk mengoptimalkan serangan, seperti:
-
durasi timeout,
-
batas ukuran file,
-
kedalaman enkripsi.
Untuk sistem Windows, contoh format perintah yang digunakan adalah:
Encryptor.exe –key <32-byte key> -path <targeted path> -t
Sementara pada Linux dan ESXi, Kraken menggunakan ELF binaries yang dilengkapi opsi seperti mode daemon serta kemampuan koneksi jarak jauh via SSH.
Kraken juga memiliki dua mode enkripsi: parsial dan penuh. Mode parsial berguna untuk mempercepat proses enkripsi agar serangan selesai sebelum terdeteksi, sedangkan mode penuh dipakai saat pelaku ingin memastikan kerusakan maksimal.
Satu hal yang cukup menarik, Kraken sengaja melewati file sistem penting dan folder seperti Program Files. Tujuannya? Supaya sistem tetap bisa berjalan dengan stabil setelah terenkripsi. Dengan begitu, korban masih dapat mengakses perangkat mereka untuk membaca instruksi tebusan dan melakukan negosiasi.
Kraken juga secara aktif menargetkan database SQL serta network share, dua komponen kritis yang biasanya menyimpan data sensitif perusahaan.
Baca Juga : Hacker Adalah: Memahami Tujuan, Jenis, dan Teknik Peretasan
Ransomware Kraken pada dasarnya bukan hanya ancaman baru—tapi juga penanda bahwa lanskap serangan siber semakin berkembang ke arah yang jauh lebih terstruktur, modular, dan agresif. Dengan kemampuannya menargetkan berbagai platform sekaligus, organisasi kini harus mulai berpikir ulang tentang strategi pertahanan, terutama pada server yang terhubung langsung ke internet.
